EN

メールマガジン登録
お役立ち資料
お問い合わせ
consulting-hero-bg

デジタルサービス向けリスク分析支援

デジタルサービスを提供する様々な企業に対して
サービスの潜在的なリスクを分析し、対策実施まで支援します

お問い合わせ

こんな課題ありませんか?

icon_01

外部のWebサービスとつながることが多いデジタルサービスは、構造が複雑になりがち

icon_02

デジタルサービスを安全かつスピーディに提供するために早い段階でリスク分析を実施したい

 

icon_03

ユーザビリティとのバランスを
考慮したセキュリティ対策を行いたい

security_management-image

企業がデジタルサービスを企画・要件定義する段階からNRIセキュアの専門家がサポート

ビジネスモデルとユースケース(ユーザーの利用事例)の観点から、デジタルサービスの脅威となりうるリスクを網羅的に洗い出し、適切なセキュリティ対策を提示します。

開発段階からセキュリティをしっかり考慮することで、セキュリティ要件をサービス仕様に組み込んだシステムの設計が可能になります。自社だけでは見落としがちな脆弱性に気づいたり、より適切なサービス設計やシステムの実装を図ることができます。また、企業がデジタルサービスをサービスインするか否かを意思決定する際の判断材料としても、活用できます。

 

reason

お客様に選ばれる理由

1

豊富な知見と実績に基づいたリスク分析

国内外で発生したサービスの不正利用などのインシデント事例に関する、豊富なナレッジや支援実績をもとに体系化したフレームワークを用いたご支援を行います。

対象となるサービスの特性や運用面を踏まえて、リスクを抽出・分析することで、新たにリリースするデジタルサービス特有のリスクや競合・類似サービスで顕在化したリスクを網羅的に抽出します。

2

ユーザビリティも考慮した実践的な対策立案

国内外のセキュリティ対策基準やベストプラクティス、豊富な支援実績を有するセキュリティコンサルタントの知見をもとに、ユーザビリティを考慮した最適な対策を立案します。

サービスの流れ

  1. STEP

    1

    サービス仕様・ビジネスモデルの把握と脅威の洗い出し

    対象となるデジタルサービスのビジネスモデルや仕様、外部との提携先も含めた全体像を把握します。その上で、悪意者がどのような目的や手法でサービスを悪用しようとするのかを洗い出し、それらの行為の難易度や類似の事例を踏まえて、様々な悪用の形態を「脅威シナリオ」としてまとめ、各シナリオが当該デジタルサービスに対してどれほどのインパクトを持つかを評価します。

  2. STEP

    2

    ユースケース(ユーザーの利用事例)に基づく脅威の洗い出し

    分析対象となるデジタルサービスが持つ特有のユースケースに重点をおいて、悪用された場合のあらゆるリスクを洗い出します。その中から、実際に起きる可能性の高いリスクのメカニズムを分析し、当該リスクと現在の対策とのギャップを評価します。

  3. STEP

    3

    脅威シナリオに対する対応策の立案・提示

    作成した脅威シナリオをもとに、デジタルサービスの仕様にセキュリティ対策として組み込むべき事項を、対応方針として提示します。また、各対応方針について、脅威の「予防」「検知」「抑止」「低減」等の採るべき具体策を提示します。

デジタルサービス向けリスク分析支援の対象範囲

digital_01

 

料金

個別見積もりとなります。
対応の期間・支援内容、サービスの規模などにより、お見積りが変動いたします。
詳細については、以下よりお気軽にお問い合わせください。

よくある質問

Q. 支援期間はどのくらいですか?
A.

サービスの規模や支援内容にもよりますが、標準的な支援期間としては2~3か月程度となります。
お客様の希望に応じて短期間での簡易的な評価や、開発期間に沿った長期のアドバイザリー支援なども組み合わせてご提供可能です。

Q. リスク分析の対象となる範囲はどこまでですか?
A.

本サービスは、システム開発におけるRFIやRFP等で定義される「サービス仕様」に対するリスク分析を対象とします。アプリケーションや基盤といったシステムの脆弱性に対する評価は、NRIセキュアで提供している診断サービスの対象分野となります。

Q. サービス全体ではなく、特定の機能に絞ってリスク評価をすることは可能ですか?
A.

お客様の要望に応じて対象範囲を絞ったご支援も可能ですが、評価対象外の機能にリスクがあった場合、結果的に不正利用に繋がってしまう恐れもございます。
そのため、サービス全体の仕様を考慮したリスク評価を支援させていただくことをお薦めしています。

Q. 不正アクセスの被害に遭わないか懸念しています。
A.

対策の立案にあたっては、過去に発生した不正利用の事例や他社サービスの対策状況なども考慮しております。
また、過去の不正事例と同様の攻撃が成立する可能性はあるのかといった耐性評価も行った上でアドバイスします。